Просмотр любых файлов на диске в Apache модуле PL/SQL для Oracle 9I Application Server

Дата публикации:
24.12.2001
Всего просмотров:
850
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Oracle 9i Application Server поставляется с apache основанным Web сервером и поддержкой сред типа SOAP, PL/SQL, XSQL и JSP.

Apache модуль PL/SQL для Oracle 9iAS обеспечивает функциональные возможности для удаленного Администрирования Database Access Descriptors и доступа к страницам помощи.

Удаленный нападающий может создать специально сформированный запрос, содержащий двойное кодирование последовательности dot-dot-slash (../), который приведет к обходу директории 'admin'. Уязвимость позволяет читать файлы на диске, с правами Web сервера (на Windows с правами system)

Уязвимость найдена в Oracle Oracle 9i Application Server для всех операционных систем.

Ссылки: http://metalink.oracle.com
http://otn.oracle.com/deploy/security/pdf/modplsql.pdf
http://owasp.securitylab.ru/?ID=27090
http://owasp.securitylab.ru/?ID=27094

или введите имя

CAPTCHA